경찰청 국가수사본부, 전·현직 고위공무원 및 교수 등 150명 대상 악성 이메일 발송 확인
해킹 성공할 때까지 단계별로 공격 시도…안보 분야 관계자 주의 필요
[보안뉴스 김영명 기자] 경찰청 국가수사본부는 지난해 4월부터 7월까지 안보 분야 주요 관계자를 대상으로 발송된 악성 전자우편(이메일) 사건을 수사한 결과, 북한의 특정 해킹조직 소행으로 확인했다고 밝혔다.
![[보안뉴스 / 6.7.] 지난해 정부 교체기 안보전문가 대상 악성메일 유포사건, 북한 ‘김수키’ 소행이었다](http://www.boannews.com/media/upFiles2/2023/06/1061017569_5891.jpg)
▲지난해 정부 교체기 안보 전문가 대상 악성 전자우편 유포사건 개요도[자료=경찰청]
경찰청 국가수사본부(안보수사국)에 따르면 북한 해킹조직은 통일·안보 전문가 등을 사칭해 지난해 대선 이후 4월부터 7월까지 새 정부 출범 기간에 맞춰 전·현직 고위공무원, 대학교수, 외교·통일·안보·국방 전문가 150명을 대상으로 피싱 사이트 접속을 유도해 계정정보를 탈취하는 악성 전자우편을 발송한 것으로 확인됐다.
북한 해킹조직은 국내외 해킹을 통해 국내 36개, 국외 102개 등 총 138개의 서버를 장악해 해킹 공격을 위한 기반을 확보하고, 추적을 피하고자 IP 주소를 세탁했다. 각각의 서버는 악성 전자우편 발송, 피싱 사이트 구축, 탈취정보 전송 등 기능별로 구분돼 있었는데, 이는 수사기관의 추적을 피하고 한 번에 발각되지 않기 위한 목적으로 판단된다.
사칭 전자우편에 속아 피싱 사이트에 접속해 자신의 아이디와 비밀번호를 입력한 피해자는 총 9명으로 확인됐다. 북한 해킹조직은 이들의 송수신 전자우편을 실시간으로 확인하고 첨부 문서와 주소록 등을 빼간 것으로 파악됐다.
이번 사건은 경찰청이 국가정보원 국가사이버안보센터와 사이버 위협정보 공유를 통해 피해를 인지했다. 그 이후 최초 수사에 착수한 제주경찰청 첨단안보수사계와 경찰청 안보수사국, 국정원은 5,800여개 전자우편 분석과 추적 수사를 진행했으며, 관계기관 합동으로 피해자 및 소속 기관에 피해 사실을 즉시 통보, 관계기관과 협업 피싱 사이트 차단, 공격 수법 등 관련 정보 관계기관 공유 등 피해 보호조치를 완료했다.
경찰청은 이번 사건을 그동안 국내외 민간 보안업체에서 일명 ‘김수키(Kimsuky)’ 등으로 명명한 북한 해킹조직의 소행으로 판단하고 있으며 △공격에 사용한 IP 주소 △경유지 구축 방법 △북한식 어휘 문구 △공격 대상이 대부분 외교·통일·안보·국방 전문가인 점 등을 근거로 판단했다. 특히, 북한식 어휘 문구로는 한국어의 ‘서버’를 ‘봉사기’로, ‘내일’을 ‘래일’로 표기해 “랠 쯤에”로, ‘적합한 분’을 ‘적중한 분’ 등으로 표기했다.
한편, 일명 ‘김수키’ 해킹조직은 정보 탈취 공격에 집중하는 것으로 알려졌으나, 이번 수사를 통해 공격 서버에서 이들이 사용한 가상자산 지갑 주소를 발견했으며, 금전 탈취도 시도하고 있는 것으로 판단하고 추적 수사를 계속 진행하고 있다.
이번 사건을 통해 북한 해킹조직의 공격 수법은 더욱 치밀해지고 있는 것으로 확인됐다. 지난해 새 정부 출범을 전후해 피해자들의 지인 및 안보 분야 여론 주도층을 사칭하는 사회공학적 방법으로 치밀하게 접근을 시도했으며, 공격은 다음 4단계로 진행됐다.
첫 번째로, 피해자의 입장에서 최대한 자연스러운 접근을 시도한다. 교수·연구원을 사칭했다면 책자 발간이나 논문 관련 의견을 요청하는 내용, 언론 기자를 사칭했다면 인터뷰나 자료를 요청하는 내용으로 정상적인 전자우편을 1차적으로 발송한다.
두 번째로 피해자가 회신 전자우편을 보냈다면 절반의 성공으로, 공격자는 다시 답장을 보내면서 대용량 문서 파일을 내려받도록 유도한다.
세 번째로 공격자는 보안이 강화돼 문서 파일을 열기 위해서는 본인 인증이 추가로 필요하다며 가짜 피싱 사이트로 연결한다. 이때 피해자가 인증 요구에 응해 ID와 비밀번호를 입력하면 계정정보를 탈취하는 방식이다. 공격자는 탈취한 정보로 전자우편 수발신함에 남겨진 정보를 가로채거나 또 다른 해킹 공격에 악용하기도 했다.
마지막으로, 목적을 달성한 공격자는 피해자에게 감사 답장을 발송해 의심을 차단했다. 피해자 중에는 경찰이 해당 사건을 수사하면서 연락하기 전까지 악성 전자우편을 받은 사실을 전혀 인지하지 못한 피해자도 있었다.
![[보안뉴스 / 6.7.] 지난해 정부 교체기 안보전문가 대상 악성메일 유포사건, 북한 ‘김수키’ 소행이었다](http://www.boannews.com/media/upFiles2/2023/06/1061017569_2570.jpg)
▲단계별 악성 전자우편 공격 수법[자료=경찰청]
경찰청은 “안보 분야 관계자를 대상으로 한 북한의 해킹 시도가 지속해서 이어질 것으로 전망하고, 전자우편 비밀번호의 주기적인 변경과 본인 인증 설정 강화, 해외 접속 차단, 의심스러운 전자우편 재확인 등 보안 조치를 강화해 줄 것을 당부드린다”고 밝혔다. 이어 “앞으로도 국가안보에 위협이 되는 사이버 공격 동향과 대응 사례를 관계기관과 적극적으로 공유하는 한편, 북한 해킹조직의 불법 사이버 활동에 대한 선제 대응을 강화해나갈 계획”이라고 덧붙였다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.7.] 지난해 정부 교체기 안보전문가 대상 악성메일 유포사건, 북한 ‘김수키’ 소행이었다](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
